Mi recomendación de como dar de alta un host en una vlan
Para dar de alta hosts en los puertos del switch y asociarlos a un vlan lo que primero necesitamos es localizar en que puerto está conectado el host a asociar.
Para buscar en que puerto donde está conectado necesitamos saber la mac-address del host. Con la mac-address podemos localiza el puerto através del comando “show mac address-table”.
Con este comando nos puede salir un listado difícil de seguir, nos ayudaría añadirle “ | include y_su_mac_address”, como por ejemplo:
Con este comando nos puede salir un listado difícil de seguir, nos ayudaría añadirle “ | include y_su_mac_address”, como por ejemplo:
CPA1SW01#sho mac address-table | include 0025.649b.b604
1 0025.549b.bu04 DYNAMIC Fa1/0/12
Para ver el rango de ip’s que pertence cada vlan, la configuración de Nivel 3:
CPA1SW01#show running-config
“…
!
interface Vlan11
ip address 10.1.11.1 255.255.255.0
!
interface Vlan12
ip address 10.1.12.1 255.255.255.0
!
interface Vlan14
ip address 10.1.14.1 255.255.255.0
!
interface Vlan20
ip address 172.101.20.254 255.255.255.0
!
interface Vlan30
ip address 172.101.30.254 255.255.254.0
!
interface Vlan40
ip address 172.101.40.254 255.255.255.0
!
interface Vlan50
ip address 10.1.50.1 255.255.255.0
…”
Para ver la configuración a nivel 2 de vlan: el nombre de la vlan, su número id, su estado y los puertos asociados de vlan:
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
3 DeptVentas active Fa2/0/43, Fa2/0/44
4 DMZ active
7 Heartbeat active
10 DeptCompras active Fa1/0/23, Fa1/0/38, Fa2/0/26
11 Fabrica active Fa1/0/4, Fa1/0/6, Fa1/0/10
Fa1/0/19, Fa1/0/27, Fa1/0/32
Fa1/0/37, Fa1/0/39, Fa1/0/40
Fa2/0/24
Ya solo queda asignar el puerto a la Vlan
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fastEthernet 0/2
Switch(config)#switchport mode access
Switch(config)#switchport access vlan 10
Switch(config)#shutdown
Switch(config)#no shutdown
Una configuración de usuario mas tuneada podría ser
Otra manera un poco mas avanzada:
default interface Fa0/
interface Fa0/
description C00_PC_FAB
switchport access vlan 13
switchport mode access
switchport port-security
no logging event link-status
no snmp trap link-status
storm-control broadcast level 4.00
spanning-tree portfast
spanning-tree bpduguard enable
shutdown
no shutdown
!
Para que no nos avise cuando se apaga y enciende un host.
interface GigabitEthernet1/0/10
description TelIP y PC
switchport access vlan 100
switchport mode access
switchport voice vlan 10
no logging event link-status
no snmp trap link-status
storm-control broadcast level 4.00
spanning-tree portfast
spanning-tree bpduguard enable
!
switchport port-security maximum 2
Si queremos seguir aumentando la complejidad podemos añadir lo siguiente:
interface FastEthernet1/0/10
description PC001
switchport access vlan 100
switchport mode access
switchport voice vlan 10
no logging event link-status
no snmp trap link-status
storm-control broadcast level 4.00
spanning-tree portfast
spanning-tree bpduguard enable
switchport nonegotiate
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
no snmp trap link-status
auto qos voip trust
no cdp enable
spanning-tree portfast
spanning-tree bpdufilter enable
El "no cdp enable" Cisco recomienda quitarlo pero yo prefiero ponerlo porque puede ser de gran ayuda a la hora de averiguar que hay en nuestra red.
Con el " switchport port-security mac-address sticky" memorizará las dos primeras MacAddress que pongamos y bloqueará el puerto si no es ninguna de esas.
Para complimentar un poco más este artículo sería recomendable leer el link :
http://gonsystem.blogspot.com/2011/06/vlans-basico-cisco.html
Una configuración de usuario mas tuneada podría ser
Otra manera un poco mas avanzada:
default interface Fa0/
interface Fa0/
description C00_PC_FAB
switchport access vlan 13
switchport mode access
switchport port-security
no logging event link-status
no snmp trap link-status
storm-control broadcast level 4.00
spanning-tree portfast
spanning-tree bpduguard enable
shutdown
no shutdown
!
Para que no nos avise cuando se apaga y enciende un host.
Con lo anterior al detectar 2 direcciones mac el puerto se bloquearía, se puede dar el caso que queramos poner un telefono IP y colgado de él un PC, en principio con poner lo siguiente tendríamos suficiente
interface GigabitEthernet1/0/10
description TelIP y PC
switchport access vlan 100
switchport mode access
switchport voice vlan 10
no logging event link-status
no snmp trap link-status
storm-control broadcast level 4.00
spanning-tree portfast
spanning-tree bpduguard enable
!
Pero hay switches que bloquearían el puerto, así que para asegurar que van a pasar dos direcciones Mac habría que añadir:
switchport port-security maximum 2
Si queremos seguir aumentando la complejidad podemos añadir lo siguiente:
interface FastEthernet1/0/10
description PC001
switchport access vlan 100
switchport mode access
switchport voice vlan 10
no logging event link-status
no snmp trap link-status
storm-control broadcast level 4.00
spanning-tree portfast
spanning-tree bpduguard enable
switchport nonegotiate
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
no snmp trap link-status
auto qos voip trust
no cdp enable
spanning-tree portfast
spanning-tree bpdufilter enable
El "no cdp enable" Cisco recomienda quitarlo pero yo prefiero ponerlo porque puede ser de gran ayuda a la hora de averiguar que hay en nuestra red.
Con el " switchport port-security mac-address sticky" memorizará las dos primeras MacAddress que pongamos y bloqueará el puerto si no es ninguna de esas.
http://gonsystem.blogspot.com/2011/06/vlans-basico-cisco.html
Gon Rev3 Ene2016
No hay comentarios:
Publicar un comentario